数据安全

1。 ds_re_j02

解密后，第八行第二列数据为flag

打开文件后发现所有内容都是编码信息。经过仔细观察，发现这些编码字符只有A-Z和2-7组成。推测可能是Base32编码，于是尝试使用Base32解码，成功恢复了可读内容。第二列信息是标志。

2.wm

分析并获取水印信息

说实话，一开始我并没有弄清楚水印是什么意思，但是打开文件快速浏览后，我发现最关心的是插入语句的验证字段，这似乎是它的编码。

我盲目猜测可能是Base系统。我把加密后的信息放到PuzzleSolver里看，但是无论是32位还是64位，解密后的信息都是乱码。发现是base32解密，有隐写填充0，转为ASCII

这时候他注意到，不管是什么编码，他这里解码的二进制总是以1开头。由于语法前缀或者填充的格式要求，大多数文本的二进制都是以0开头的，所以在二进制串的开头加一个0，然后复制下来，放到CyberChef中进行二进制解码。 Base64解码的二进制好像没什么用。使用Base32解码后的二进制并添加0即可成功解码水印。

3。奇怪的加密文件

某公司采用国产商用密码加密保护员工考勤数据。由于管理员意外辞职，未交出密码，导致考勤文件无法解密。这直接影响到公司财务部门对员工的薪资计算。公司邀请您，一位专业的数据安全专家，发挥您的技能和专业知识，利用已知的线索来解决这个问题，并解密考勤文件以获得flag。

文件中有一张图片和一段密文。结合标题中提到的使用国内商用密码的加密，确定这应该是SM4加解密。你需要从图中找到Key和IV。使用010editor打开图片查看是否有隐藏信息或文件，并没有发现什么。使用Binwalk 和Foremost 来提取图像中的隐藏文件或信息是没有用的。最后我想到图片本身可能是一种编码，于是尝试用Drifting打开，用==解决了三个字符串。都用Base64解码，发现只有红框的才是有效的编码，所以我们得到了Key？

比赛的时候，我解开的时候不知道这串数字是什么，因为找不到另外一串数字.后来问了其他高手，发现解出来的2001010120231025其实是Key，而IV是弱密码.需要大家自己猜.我就把IV放在这里了发布——0123456789abcdef。使用Key和IV你可以解密.

4。公司机密

某上市公司CEO李先生震惊地得知公司重要商业秘密被泄露，可能给公司带来巨大的经济损失和声誉危机。经初步调查，李先生怀疑此事与其心腹小赵有关。据了解，小赵有一个特殊的爱好，喜欢用一些看似莫名其妙的文件创建次数作为密码，但关键文件已被删除。报警后，警方介入调查，并使用专业的数据恢复工具成功恢复了一些相关文件，其中包括一张奇怪的图片，上面有一些凌乱的几何图形和色块。但文件的创建时间很难确定，只能推断肯定早于文件修改时间。此外，调查还发现，一名客户向小赵发送了一份秘密文件，而该文件的密码正是该客户的名字。现在，摆在你面前的任务就是利用技术手段找到恢复文件中的flag，为公司提供帮助。

打开压缩包后，有一个complex_suspect_disk.001文件。乍一看，它是用于数字取证的分割磁盘映像。用7z就可以打开，但是为了安全起见，我们使用R-Studio来打开。打开后发现user文件夹中有两个压缩包。从名字就可以看出都是非常重要的文件，所以我把这两个压缩包都保存下来了。

保存后，我们发现这两个压缩包中的文件是受密码保护的。根据标题描述，我们大胆猜测.business_secret.zip是一个以文件创建时间为密码的文件，flag.zip是一个以客户名称为密码的文件。所以我们首先解开文件.business_secret.zip中的密码。由于我们知道这是文件创建时间，因此我们直接尝试使用日期+时间作为密码。密码错误！单独的约会怎么样？密码仍然错误……此时我们陷入了僵局。看似莫名其妙的文件创建时间就是密码……日期一定是正确的，所以也许问题就出在时间上！所以接下来我尝试破解密码。密码的组成仍然是日期+时间。最终，我成功破解了它。问题是时间！

使用爆破密码打开文件即可获取客户名单！但哪个客户呢？另外，我在哪里可以找到这些客户的姓名？

随后注意力再次回到磁盘镜像上，开始搜索镜像中的文件。最后在微信文件夹中找到了客户信息文件。打开后是客户姓名+手机号码，于是我们根据上面解密的文件中客户的手机号码开始比对搜索。

最终确定是一位名叫王小天的客户，于是我们尝试用他的名字打开flag.zip。果然是这样啊！

5。不安全的界面

某公司在开发过程中未严格遵循数据安全规范，导致系统存在严重安全漏洞。请获取卡片并提交。

这是一个网络问题。比赛时忘记截图了，这里就不解释了。更改GET参数后，可以直接用Sqlmap扫描。

6.数据分析

1。日志分析

直接写螺柱脚本！

1、以小时为单位，分析一天工作时间内（9:00-17:00）每个小时的访问量分布情况，找出企业的营业高峰时间。高峰访问时间定义为每小时访问次数超过9:00-17:00整个时间段每小时平均访问次数的时间段。 [评估标准] 请提交高峰访问时间的小时数（以24小时制）。多个小时从小到大排序并用逗号分隔。

工作时间人次分布:9:00 - 4956 次*正常10:00 - 4537 次*正常11:00 - 9134 次*高峰12:00 - 6032 次*正常13:00 - 5588 次*正常14:00 - 9731 次*高峰15:00 - 4274 次*正常16:00 - 10290 次*高峰17:00 - 4216 次*正常平均访问量: 6528.7 次/小时高峰期: ['11:00'，'14:00'，'16:00']2。统计一天内各个业务系统的访问量，找出排名前三的系统。 【评估标准】请提交访问量排名前三的系统名称，按照访问量降序排列，使用英文逗号连接，转换为小写MD5后提交。

系统访问次数排名:1. rd 17915 次2. 供应16651 次3. crm 11330 次4. 财务9418 次5. auth 5794 次6. hr 4086 次7. 外部3812 次8. 法律3780 次9. 日志3626 次10. 监控2802 次3 次访问: rd，供应，crm3。检测高频访问行为，识别可能的恶意IP。高频访问行为定义为：同一IP在任意自然分钟内（即每连续60秒且起始时间为一小时或一分钟，如08:05:00-08:05:59）对同一接口发出超过30次请求。 [评估标准] 请提交检测到的异常IP数量。如果检测到3个异常IP，则答案为：3。

可疑IP总数: 25 172.16.10.127 172.16.10.235 172.16.10.29 172.16.11.138 172.16.12.190 172.16.12.75 172.16.13.130 172.16.14.108 172.16.17.166 172.16.2.12 172.16.2.97 172.16.21.231 172.16.22.34 172.16.23.120 172.16.23.95 172.16.27.107 172.16.27.198 172.16.3.153 172.16.30.230 172.16.5.225 172.16.6.11 172.16.6.117 172.16.6.138 172.16.9.165 172.16.9.2294。为了保证数据安全，公司只允许普通用户的浏览器User-Agent以及postman、curl、requests等开发工具访问该API。请检查用户代理以查找用于使用其他工具访问API 的IP 地址。 [评估标准] 请提交使用恶意User-Agent的IP数量。如果检测到23 个使用恶意用户代理的IP，则答案为：23。

User-Agent 分析结果: 合法请求: 78524 可疑请求: 690 可疑IP 数量: 63

7。流量分析

1. 分析提供的流量文件，找出哪些研究结果只上传结果文档，而没有上传哈希文件。 【评价标准】将找到的研究成果编号从小到大的数字部分进行排序，并用“-”连接，最后转换为32位小写md5提交（UTF-8编码，行尾无换行符）。

标题提到“上传文件”。附件中有一个.pcap 文件。可以考虑分析一下与文件传输相关的协议。 ftp-data协议经常用于FTP数据传输，可能包含文件内容，所以可以先过滤ftp-data协议，发现确实有很多.sha文件和.pdf文件。

因此我们导出这些文件并手动搜索未上传哈希文件的结果文档。

终于找到这些文件：

RES115756-RES157171-RES266128-RES317032-RES326054-RES364261-RES509894-RES554600-RES618293-RES636474-RES750741-RES794870-RES884672 2. 科学研究结果将在之前经过审查和哈希处理正在提交至平台。目前检查发现，部分结果上传文件与送审文件存在差异。请使用提供的aes256 密钥解密文件并验证哈希值以找出哪些科学结果不同。 【评估标准】格式与问题1相同：将数字按数字部分升序排序，用“-”连接，最后输出32位小写md5。

实际上有很多方法可以解决这个问题。您可以编写自己的脚本或使用CyberChef 等工具。主要区别在于工作量。有一点需要特别说明：AES解密需要Key、IV和加密文件。

密钥全部位于密钥文件夹中。当你打开任何密钥文件时，你都会发现它是Base64编码的，所以在解密之前，必须先进行Base64解码。 IV需要我们自己猜测。在CTF中，IV常常是16位的0，你可以以此作为初步尝试。加密后的文件自然就是流量包导出的pdf文件。按照这个思路，与excel文件的内容进行对比，就成功解密了。下一步是手动将其保存为pdf文件，然后计算哈希，并与excel文件中的哈希值进行校对。当然脚本也是可以的。但！我解决这个问题的所有哈希都失败了，而且我在网上找不到wp。结合之前问题中主办方的炫酷操作，答案是所有的哈希值都是错误的。也不是不可能……如果有人想通了或者有其他很酷的想法，请留言或者私信，谢谢！ 3、近期，平台上发现了一些带有.eml后缀的垃圾邮件。检查流量并查找登录并上传这些.eml 垃圾邮件的用户名数量。 【评价标准】直接提交数字。例如，如果找到24个用户，则输出24

直接放入CTF-NetA中。

它将自动帮助您分析发送的每个文件的用户名。手动统计和去重可以得到7。

数据中毒

这个问题是一个关于AI数据中毒的网络问题。比赛期间，我将模型的错误率降低到了50%。题目想要的是让你用花哨的方式降低准确率，根据错误率给分，所以有两个想法：要么毒害数据，要么改变模型参数。可惜之前没玩中毒，所以数据路就黑了。幸运的是，我仍然忙于深度学习，所以我只专注于模型参数。这里简单说一下：

激活函数：将ReLU替换为容易饱和的函数，例如tanh或sigmoid。梯度将一直为零，参数更新将是平坦的。 Dropout：设置为0.9+，训练时神经元几乎被砍掉，模型不会记住任何东西；或者干脆设置为0，这样网络一测试就会过拟合崩溃。学习率：调整为1e-1甚至1，步长太大直接越过最优解；或者调整为1e-6，步长太小，训练完就无法移动洞了。模型层数：疯狂堆到几十上百层，梯度要么爆炸，要么消失，无法反向传递，网络学得越多就越混乱。神经元数量：每层只给1-2个神经元，容量小到连训练集都记不住；或者可以暴力提升到10万级，参数数量爆炸，但也无法训练。

转载自参考文章链接地址：https://mp.weixin.qq.com/s/GT8JEvCgt2fooFDYdaUIyQ